보안 에이전트 인증 방법 검토

  • 5분

Microsoft Defender for IoT 서비스는 보안 에이전트에 대한 참조 아키텍처를 제공합니다. 보안 에이전트는 IoT Hub를 통해 보안 데이터를 기록, 처리, 집계 및 제공할 수 있습니다.

보안 에이전트는 리소스가 제한된 IoT 환경에서 작동하도록 설계되었습니다. 또한 보안 에이전트는 사용하는 리소스와 비교할 때 제공하는 가치 측면에서 고도로 사용자 지정할 수 있습니다.

보안 에이전트는 다음과 같은 기능을 지원합니다.

  • 기본 운영 체제(Linux, Windows)에서 원시 보안 이벤트를 수집합니다.
  • 원시 보안 이벤트를 집계하여 IoT Hub를 통해 전달되는 메시지를 만듭니다.
  • 기존 디바이스 ID 또는 전용 모듈 ID를 통해 인증합니다.
  • azureiotsecurity 모듈 쌍을 사용하여 원격으로 구성합니다.

IoT Hub의 Microsoft Defender for IoT에 온보딩된 각 디바이스에 보안 모듈이 필요합니다. 디바이스를 인증하기 위해 Microsoft Defender for IoT는 다음 두 가지 방법 중 하나를 사용할 수 있습니다.

  • SecurityModule 옵션
  • 디바이스 옵션

인증 방법

다음 정보를 사용하여 두 가지 인증 방법 중 선택할 수 있습니다.

  • SecurityModule 인증 모드

에이전트는 디바이스 ID와 독립적으로 보안 모듈 ID를 사용하여 인증됩니다. 보안 에이전트가 보안 모듈을 통해 전용 인증 방법을 사용하려면 이 인증 유형을 사용합니다(대칭 키만 해당).

  • 디바이스 인증 모드

이 방법에서 보안 에이전트는 먼저 디바이스 ID로 인증합니다. 초기 인증 후 Microsoft Defender for IoT 에이전트는 디바이스의 인증 데이터와 함께 REST API를 사용하여 IoT Hub에 대한 REST 호출을 수행합니다. 그런 다음, Microsoft Defender for IoT 에이전트는 IoT Hub에서 보안 모듈 인증 방법 및 데이터를 요청합니다. 마지막 단계에서 Microsoft Defender for IoT 에이전트는 Microsoft Defender for IoT 모듈에 대해 인증을 수행합니다.

보안 에이전트가 기존 디바이스 인증 방법(자체 서명된 인증서 또는 대칭 키)을 사용하도록 하려면 이 인증 유형을 사용합니다.

인증 방법에 대해 알려진 제한 사항

SecurityModule 인증 모드는 대칭 키 인증만 지원합니다.

CA 서명된 인증서는 Device 인증 모드에서 지원되지 않습니다.

보안 에이전트 설치 매개 변수

보안 에이전트를 배포하는 경우 인증 세부 정보를 인수로 제공해야 합니다. 해당 인수는 다음 표에 문서화되어 있습니다.

Linux 매개 변수 이름

Windows 매개 변수 이름

축약형 매개 변수

설명

Options

authentication-identity

AuthenticationIdentity

aui

인증 ID

SecurityModule 또는 Device

authentication-method

AuthenticationMethod

aum

인증 방법

SymmetricKey 또는 SelfSignedCertificate

file-path

FilePath

f

인증서 또는 대칭 키를 포함하는 파일의 절대 전체 경로입니다.

host-name

HostName

hn

IoT 허브의 FQDN입니다.

예: ContosoIotHub.azure-devices.net

DEVICE_ID

DeviceId

di

Device ID

예: MyDevice1

certificate-location-kind

CertificateLocationKind

cl

인증서 스토리지 위.

Localfile 또는 Store

설치 스크립트를 사용하여 보안 에이전트를 배포하는 경우 구성 파일이 자동으로 생성됩니다.

배포 후 인증 방법 변경

배포 후 인증 방법을 변경하려면 구성 파일을 수동으로 편집해야 합니다.

C# 기반 보안 에이전트

다음 매개 변수를 사용하여 Authentication.config를 편집합니다.

<Authentication>
  <add key="deviceId" value=""/>
  <add key="gatewayHostname" value=""/>
  <add key="filePath" value=""/>
  <add key="type" value=""/>
  <add key="identity" value=""/>
  <add key="certificateLocationKind" value="" />
</Authentication>

C 기반 보안 에이전트

다음 매개 변수를 사용하여 LocalConfiguration.json을 편집합니다.

"Authentication" : {
"Identity" : "",
"AuthenticationMethod" : "",
"FilePath" : "",
"DeviceId" : "",
"HostName" : ""
}